Cisco SD-WAN vManage impacted by unauthenticated REST API access
2023/07/13 BleepingComputer — Cisco SD-WAN vManage 管理ソフトウェアには、影響を受けるインスタンスの設定における限定的な読取/書込みの権限を、認証されていないリモートの攻撃者に許してしまう脆弱性が存在する。Cisco SD-WAN vManage はクラウドベースのソリューションであり、複数の場所に分散したネットワークの、ユーザー企業による設計/展開/管理を可能にする。vManage のインスタンスは、集中型ネットワーク管理/VPN の設定/SD-WAN オーケストレーション/デバイス設定の展開/ポリシーの適用などに使用される。
7月12日 (水) に Cisco は、Cisco SD-WAN vManage ソフトウェアの REST API リクエスト認証検証に存在する、深刻な脆弱性についてセキュリティ情報を公開した。
この脆弱性がは、REST API 機能を使用する際のリクエスト認証が不十分であることに起因しており、影響を受ける vManage インスタンスに対して、特別に細工された API リクエストを送信することで悪用される可能性があるという。
それにより、攻撃者は侵害したシステムから、機密情報の読取/特定の設定の変更/ネットワーク運用の妨害などが可能になるという。
Cisco は、「悪用に成功した攻撃者は、影響を受ける Cisco vManage インスタンスのコンフィグレーションからの情報の取得や、コンフィグレーションへの情報の送信が可能になる。この脆弱性は REST API のみに影響し、Web ベースの管理インターフェースや CLI には影響しない」と述べている。
修正と回避策
CVE-2023-20214 の影響を受ける、Cisco SD-WAN vManage の各リリースは以下の通りである:
- v20.6.3.3 – fixed in v20.6.3.4
- v20.6.4 – fixed in v20.6.4.2
- v20.6.5 – fixed in v20.6.5.5
- v20.9 – fixed in v20.9.3.2
- v20.10 – fixed in v20.10.1.2
- v20.11 – fixed in v20.11.1.2
さらに、Cisco SD-WAN vManage バージョン 20.7/20.8 も影響を受けるが、この2つについては修正がリリースされないため、ユーザーに対しては別リリースへの移行が推奨されている。なお、上記のリストに記載されていない 18.x〜20.x のバージョンは、CVE-2023-20214の影響を受けない。
Cisco は、この脆弱性に対する回避策はないとしているが、攻撃対象領域を大幅に減らす方法はある。
ネットワーク管理者に対して推奨されるのは、vManage インスタンスへのアクセスを指定された、IP アドレスのみに制限する制御アクセスリスト (ACL) を使用し、外部からの攻撃に対してドアを閉ざすことだ。
もう1つの強固なセキュリティ対策は、API にアクセスするために API キーを使用することである。これは、Cisco による一般的な推奨事項であるが、vManage の導入における厳しい要件ではない。
さらに、管理者に対しては、ログを監視して REST API への疑わしいアクセスの試みを検出し、潜在的な脆弱性の悪用を示すという指示が発せられている。
“vmanage-server.log” ファイルの内容を表示する際には、”vmanage# show log /var/log/nms/vmanage-server.log” コマンドを使用する。
Cisco SD-WAN vManage の深刻な脆弱性 CVE-2023-20214 が FIX しましたが、REST API のみに影響し、Web ベースの管理インターフェースや CLI には影響しないとのことです。つい前日の 2023/06/21 には、「CISO の最大の懸念:サプライチェーンと API のセキュリティ」という記事がアップされており、API のセキュリティに関するに意識の高まりが感じられます。よろしければ、カテゴリ API も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.